Gamaredon információlopó kampány
A Cisco Talos nemrégiben azonosított egy új, folyamatban lévő kampányt, amelyet az oroszországi kötődésű Gamaredon APT-nek tulajdonítanak. A kampány során ukrán felhasználókat fertőznek meg információlopó (info stealer) kártevőkkel. Az APT csoport olyan adathalász dokumentumokat használ, amelyek az ukrajnai orosz invázióval kapcsolatos csalikat tartalmaznak. Az LNK fájlok, a PowerShell és a VBScript szkriptek lehetővé teszik a kezdeti hozzáférést, míg a fertőzés utáni fázisban rosszindulatú bináris programokat telepítenek. A Cisco Talos azonosított egy egyedi készítésű info stealer-t, amely képes kiszivárogtatni az áldozat számára érdekes fájlokat, és a támadók utasításai szerint további kártékony kódokat telepíteni. A támadók adathalász e-mailek segítségével Microsoft Office dokumentumokat juttatnak el az áldozatokhoz, amelyek rosszindulatú VBScript makrókat tartalmazó távoli sablonokat tartalmaznak. Ezek a makrók letöltik és megnyitják az LNK fájlokat tartalmazó RAR-archívumokat, amelyek ezt követően letöltik és aktiválják a payload-ot a fertőzött végponton. Jelentős átfedés figyelhető meg ebben a kampányban használt taktikák, technikák és eljárások (TTP-k), rosszindulatú szoftverek és infrastruktúra, valamint az ukrajnai CERT által nemrégiben a Gamaredonnak tulajdonított támadássorozatban használtak között.